Teknisk

Feides arkitektur

Den generelle Feide-arkitekturen hos vertsorganisasjonen består av ett eller flere kildesystemer, et brukeradministrativt system (BAS) og en LDAP brukerkatalog. Et vanlig begrep for en slik type løsning, som håndterer personopplysninger, er IdM-løsning (IdM: Identity Management). I tillegg til den lokale IdM-løsningen, kommer Feides innloggingstjeneste og en eller flere digitale tjenester, lokale og nasjonale.

Figuren nedenfor viser en typisk IdM-løsning hos en vertsorganisasjon.

Skjematisk fremstilling av Feide vertsorganisasjon

Følgende dokumenter beskriver Feide-arkitekturen og hvordan en lokal IdM-løsning kan bygges opp:

Feide-katalogen

En viktig egenskap ved Feide er at ingen personopplysninger oppbevares i et sentralt register - alle personopplysninger er lagret lokalt hos brukernes vertsorganisasjoner. Når en bruker logger på en tjeneste, vil Feide kontakte vertsorganisasjonens lokale Feide-katalog for å be om brukerens personopplysninger. Personopplysningene blir så midlertidig lagret av Feide til brukeren logger av, eller i maksimalt 8 timer. Merk at Feide har en egen avtale med hver tjeneste som sier hvilke personopplysninger tjenesten skal få utlevert når en bruker logger seg på med Feide.

Feide-katalogen skal være en LDAP-katalog, og Feide krever at visse opplysninger skal ligge i denne katalogen. Kravene Feide stiller til struktur på data i organisasjonenes LDAP-katalog er basert på norEdu*-spesifikasjonen. I tillegg til denne spesifikasjonen finnes to dokumenter, ett for grunnopplæringa og ett for høgere utdanning, som definerer hvilke av attributtene fra norEdu*-spesifikasjonen som er obligatoriske og anbefalte:

Som en del av prosessen med å koble en vertsorganisasjon til Feide, vil Feide etter avtale med vertsorganisasjonen gjøre en automatisk sjekk av innholdet i katalogen. Denne sjekken går gjennom alle person- og organisasjonsobjekter i katalogen og lager en rapport som blant annet viser om alle obligatoriske attributter er satt. Ta kontakt med oss om dere er klar for eller ønsker mer informasjon om LDAP-sjekken.

Brukeradministrativt system (BAS)

Feide krever at alle vertsorganisasjoner etablerer et digitalt system for all håndtering av brukerinformasjon, et brukeradministrativt system (BAS). All informasjon i LDAP-katalogen hentes fra BAS.

Et BAS kan importere data fra kildesystemer, f.eks. registre over studenter og ansatte, eller data kan være registrert direkte i BAS. Fra BAS eksporteres data om brukere og organisasjon til Feide-katalogen. Denne eksporten skal gjøres minst én gang i døgnet for å sikre oppdaterte opplysninger i Feide-katalogen.

Eksempler på  implementasjoner av BAS som er i drift i Feide:

  • MicroFocus IDM.
  • Microsoft: MIIS (Microsoft Identity and Integration Server) og AD 
  • Åpen kildekode: Cerebrum som BAS og OpenLDAP

Hver av de alternative løsningene har sin egen BAS brukergruppe, hvor de som er interessert i en løsning kan diskutere og utveksle erfaringer blant annet gjennom e-postlister og egne websider.